Mi az a férfi a középső támadás?

Man-in-the-middle (MITM) támadás akkor következik be, amikor valaki két számítógép (például laptop és távoli szerver) között ül, és elfogja a forgalmat. Ez a személy lehallgathatja, vagy akár el is hallgathatja a két gép közötti kommunikációt, és információkat lophat el.

A középső támadások komoly biztonsági kockázatot jelentenek. Íme, mit kell tudnia, és hogyan védheti meg magát.

Two’s Company, Three’s a Crowd

A MITM-támadások „szépsége” (jobb szó híján) az, hogy a támadónak nem kell feltétlenül hozzáférnie a számítógépéhez, sem fizikailag, sem távolról. Csak ülhet ugyanarra a hálózatra, mint te, és csendben csapkodhat az adatokon. Egy MITM akár saját hálózatot is létrehozhat, és ráveheti Önt annak használatára.

A legkézenfekvőbb módja ennek, ha valaki titkosítatlan, nyilvános Wi-Fi-hálózaton ül, például repülőtereken vagy kávézókban. A támadó bejelentkezhet, és egy ingyenes eszköz, például a Wireshark segítségével rögzítheti a hálózatok között küldött összes csomagot. Ezután elemezni és azonosítani tudja a potenciálisan hasznos információkat.

Ez a megközelítés nem hoz annyi gyümölcsöt, mint korábban, köszönhetően a HTTPS elterjedtségének, amely titkosított kapcsolatokat biztosít a webhelyekhez és szolgáltatásokhoz. A támadó nem tudja dekódolni a titkosított HTTPS-kapcsolaton keresztül kommunikáló két számítógép között küldött titkosított adatokat.

Azonban a HTTPS önmagában nem egy ezüst golyó. Vannak olyan megoldások, amelyekkel a támadó érvénytelenítheti azt.

MITM használatával a támadó megpróbálhatja rávenni a számítógépet, hogy a kapcsolatot titkosítottról titkosítatlanra „leminősítse”. Ezután megvizsgálhatja a két számítógép közötti forgalmat.

Előfordulhat egy „SSL-csupaszító” támadás is, amelyben a személy egy titkosított kapcsolat között ül. Ezután rögzíti és potenciálisan módosítja a forgalmat, majd továbbítja azt egy gyanútlan személynek.

Hálózati alapú támadások és Rogue vezeték nélküli útválasztók

A MITM támadások hálózati szinten is előfordulnak. Az egyik megközelítés az úgynevezett ARP Cache Poisoning, amelyben a támadó megpróbálja társítani MAC-címét (hardver) valaki más IP-címével. Siker esetén az áldozatnak szánt összes adatot továbbítják a támadónak.

A DNS-hamisítás egy hasonló típusú támadás. A DNS az internet „telefonkönyve”. Az ember által olvasható domain neveket, például a google.com-t, numerikus IP-címekkel társítja. Ennek a technikának a használatával a támadó jogos lekérdezéseket továbbíthat egy általa irányított hamis webhelyre, majd adatokat rögzíthet vagy rosszindulatú programokat telepíthet.

Egy másik megközelítés egy csaló hozzáférési pont létrehozása vagy egy számítógép elhelyezése a végfelhasználó és az útválasztó vagy távoli kiszolgáló között.

Az emberek túlnyomórészt túlságosan bíznak abban, hogy nyilvános Wi-Fi hot spotokhoz csatlakoznak. Látják az „ingyenes Wi-Fi” szavakat, és nem állnak meg azon gondolkodni, vajon egy aljas hacker áll-e mögötte. Ez többször is bebizonyosodott komikus hatásokkal, amikor az emberek nem olvassák el a feltételeket egyes forró pontokon. Például egyesek megkövetelik az emberektől tisztítsa meg a koszos fesztivál latrinákat vagy lemondanak elsőszülött gyermekükről.

Hamis hozzáférési pont létrehozása egyszerűbb, mint amilyennek hangzik. Vannak még fizikai hardvertermékek is, amelyek ezt hihetetlenül egyszerűvé teszik. Ezeket azonban törvényes információbiztonsági szakembereknek szánják, akik megélhetésükért végeznek behatolási teszteket.

Ne feledkezzünk meg arról sem, hogy az útválasztók olyan számítógépek, amelyek általában rossz biztonsággal rendelkeznek. Ugyanazokat az alapértelmezett jelszavakat szokták használni és újra felhasználni az egész soron keresztül, és foltos hozzáféréssel rendelkeznek a frissítésekhez. A támadás másik lehetséges módja a rosszindulatú kóddal beoltott útválasztó, amely lehetővé teszi egy harmadik fél számára, hogy távolról MITM-támadást hajtsanak végre.

Malware és Man-in-the-Middle támadások

Ahogy korábban említettük, teljesen lehetséges, hogy egy ellenfél MITM támadást hajtson végre anélkül, hogy ugyanabban a helyiségben lenne, vagy akár ugyanazon a kontinensen. Ennek egyik módja a rosszindulatú szoftverek használata.

Man-in-the-browser támadás (MITB) akkor történik, amikor egy webböngészőt rosszindulatú biztonsági okok fertőznek meg. Ez néha hamis kiterjesztésen keresztül történik, amely szinte korlátlan hozzáférést biztosít a támadó számára.

Például valaki manipulálhat egy weboldalt, hogy valami mást mutasson, mint az eredeti webhely. Aktív munkameneteket is eltéríthet olyan webhelyeken, mint a banki vagy közösségi oldalak, és spamet terjeszthet vagy pénzeket lophat el.

Ennek egyik példája volt a SpyEye trójai, amelyet keyloggerként használtak webhelyek hitelesítő adatainak ellopására. Az űrlapokat új mezőkkel is feltöltheti, így a támadó még több személyes adatot rögzíthet.

Hogyan védje meg magát

Szerencsére vannak módok, amelyekkel megvédheti magát ezektől a támadásoktól. Mint minden online biztonság, ez is az állandó éberségen múlik. Ne használjon nyilvános Wi-Fi hot spotokat. Próbáljon csak olyan hálózatot használni, amelyet Ön irányít, például mobil hot spotot vagy Mi-Fi-t.

Ennek hiányában a VPN titkosítja a számítógépe és a külvilág közötti összes forgalmat, megvédve Önt a MITM támadásoktól. Természetesen itt az Ön biztonsága csak annyira jó, mint az Ön által használt VPN-szolgáltató, ezért körültekintően válasszon. Néha érdemes egy kicsit többet fizetni egy olyan szolgáltatásért, amelyben megbízhat. Ha a munkáltatója VPN-t kínál, amikor utazik, feltétlenül használja azt.

Ha meg akarja védeni magát a rosszindulatú programokon alapuló MITM-támadásokkal szemben (mint például a man-in-the-browser változat), kövesse a megfelelő biztonsági higiéniát. Ne telepítsen alkalmazásokat vagy böngészőbővítményeket vázlatos helyekről. Jelentkezzen ki a webhely munkameneteiből, ha végzett azzal, amit csinál, és telepítsen egy megbízható víruskereső programot.